Hvad er et cybersikkerhedsbrud?

Et cybersikkerhedsbrud er et specifikt slags sikkerhedsbrud, der involverer et brud på eller en kompromittering af digitale aktiver, computersystemer, netværk eller data. Det omfatter hændelser, der vedrører forsætlig udnyttelse af digitale sikkerhedsrisici som malware, hackerangreb, databrud og DoS-angreb. Cybersikkerhedsbrud kan variere meget med hensyn til omfang, indvirkning og alvorsgrad. De kræver omgående opmærksomhed og reaktion for at afbøde potentiel skade.

Hvordan er cybersikkerhedsbrud relateret til sikkerhedshændelser og sikkerhedsbrud?

Som konklusion er et cybersikkerhedsbrud en undergruppe af sikkerhedsbrud, der involverer bekræftede brud på eller kompromittering af digital sikkerhed, som fører til uautoriseret adgang eller potentiel skade. Det indebærer et betydeligt brud på sikkerhedspolitikkerne. I modsætning hertil er sikkerhedshændelser tidlige tegn på potentielle trusler, der fremhæver usædvanlige aktiviteter i IT-miljøer. Mens sikkerhedshændelser er potentielle forløbere til brud, er en cybersikkerhedshændelse et bredere begreb, der dækker både mindre sikkerhedshændelser og større sikkerhedsbrud. Sikkerhedsbrud er enhver aktivitet, der udgør en trussel i realtid mod integriteten af en organisations netværk. Organisationer skal omhyggeligt overvåge og reagere på cybersikkerhedshændelser for at forbedre deres cybersikkerhedsniveau og beskytte sig mod sikkerhedsbrud.

Et eksempel på et cybersikkerhedsbrud fra det virkelige liv involverede for eksempel ChatGPT i marts 2023. OpenAI indrømmede bruddet ved at offentliggøre en erklæring, hvor man erkendte, at kreditkortoplysninger, e-mailadresser, medlemsnumre, navne og adresser på nogle brugere var synlige for andre brugere. Disse oplysninger var tilgængelige i et vindue på ni timer, og brugere, der var aktive i dette tidsrum, risikerede, at deres oplysninger var synlige for andre brugere. Dette brud tilskrives en fejl i den open source-AI, der blev brugt af ChatGPT.

Den voksende betydning af cybersikkerhed

De risici, der er forbundet med cyberkriminalitet, eskalerer, i takt med at den digitale tidsalder fortsætter med at udvikle sig. CyberCrime Magazine forudsagde, at cyberkriminalitet vil koste verden over 10 billioner USD årligt i 2025. Det er svært at beregne afkastet af investeringen, når man budgetterer med en organisations udgifter til cybersikkerhed, men det er stadig meget vigtigt. Bank of Americas CEO, Brian Moynihan, understregede engang vigtigheden af cybersikkerhed og sagde, at de havde et ubegrænset budget til cybersikkerhed.

Det er afgørende at forstå de komplicerede cybersikkerhedsbrud og skelne dem fra sikkerhedshændelser og andre brud.

Forskellen mellem en sikkerhedshændelse og et sikkerhedsbrud

Det er vigtigt at kende forskellen mellem en sikkerhedshændelse og et sikkerhedsbrud. En sikkerhedshændelse er en begivenhed i netværket, der kan føre til et sikkerhedsbrud. Hvis det bekræftes, at en sikkerhedshændelse har resulteret i et brud, kaldes hændelsen et sikkerhedsbrud. Et sikkerhedsbrud resulterer i risiko for eller skade på en virksomheds ressourcer og aktiver. På baggrund af det detekterede brud skal der gribes tilstrækkeligt ind for at begrænse skaden og forhindre, at bruddet bliver værre.

Sikkerhedshændelser

Sikkerhedshændelser er det første skridt mod at identificere en trussel eller et komplet angreb. En virksomhed kan løbe ind i tusindvis af sikkerhedshændelser om dagen. Det er dog ikke alle sikkerhedshændelser, der indikerer et cyberangreb. For eksempel udløser en bruger, der modtager en spammail, en sikkerhedshændelse. Sådanne hændelser skal overvåges ved hjælp af en SIEM-løsning, for at detektere om en sikkerhedshændelse fører til et sikkerhedsbrud.

Nogle af de mest almindelige kilder til sikkerhedshændelser, der bør analyseres i et netværk, er forklaret nedenfor.

Firewalls

En firewall kontrollerer trafikken til og fra netværket. Firewall-logfiler er det første bevis på, at en angriber er trængt ind. Sikkerhedshændelser detekteret fra firewall-logfiler, skal altså overvåges nøje. Herunder er der nogle af de almindelige sikkerhedshændelser og ‑brud, som du bør overvåge fra firewall-logfiler.

• Pludselig, kortvarig stigning i ind- eller udgående trafik: En pludselig, kortvarig stigning i ind- eller udgående trafik er en alvorlig sikkerhedshændelse. Hvis yderligere inspektion af firewall-logfilerne viser, at der modtages mange pakker fra kilde-IP-adresser, din organisation ikke kender, er dette et sikkerhedsbrud, da det indikerer et muligt DDoS-angreb.
• Konfigurationsændringer af firewallpolitikker: Ændringer af firewallkonfigurationer er sikkerhedshændelser, ikke brud. Hvis en bruger, som rettighederne for nylig er blevet eskaleret for, imidlertid forsøger at ændre firewallkonfigurationen, kaldes hændelsen et sikkerhedsbrud.
• Ændring af firewallindstillinger: Ændringer af firewallregler kan være normale hændelser, medmindre de tillader trafik fra eller til en skadelig C2C-server eller en anden skadelig kilde med henblik på dataudtrækning. I sådanne tilfælde bliver ændringen et sikkerhedsbrud. Derfor er det nødvendigt at overvåge disse ændringer nøje.

Vigtige servere

Vigtige servere som filservere, webservere og domænecontrollere er meget udsatte for angreb, da kompromittering af disse systemer betyder, at man i vid udstrækning får kontrol over netværket eller data. Det er vigtigt at overvåge alle brugeraktiviteter og ændringer af konfigurationer på disse servere. Nogle af de almindelige sikkerhedshændelser, du bør overvåge på vigtige servere, er:

• Brugerlogins.
• Ændringer af brugertilladelser for at få adgang til serverne.
• Ændringer af systemindstillinger.
• Ændringer af sikkerhedskonfigurationer.

Når undersøgelse af ovenstående hændelser viser, at de kommer fra en mistænkelig kilde, eller indikerer usædvanlig brugeradfærd, så er de sikkerhedsbrud.

Dette er nogle almindelige hændelser, som du bør overvåge. Afhængigt af servernes funktionalitet kan du føje andre hændelser til overvågningen. På en webserver er det for eksempel vigtigt at overvåge logfilerne for injektionsforsøg.

Databaser

Databaser er et af de mest almindelige mål for angribere, da de indeholder oplysninger om medarbejdere, fortrolige forretningsdata og meget mere. Nogle af de almindelige sikkerhedshændelser i databaser er:

• Ændringer af databasetabeller: Ændringer af tabellerne i en database foretaget af brugere med privilegerede konti er sikkerhedshændelser. Hvis en sådan bruger fortsætter med at manipulere flere tabeller, er det et sikkerhedsbrud.
• Ændringer af brugerrettigheder: Når en brugers rettigheder forhøjes til at give adgang til databasens ressourcer, er det en sikkerhedshændelse. Dette bliver et sikkerhedsbrud, hvis brugeren med nyligt forhøjede rettigheder forsøger at ændre andre brugeres rettigheder ved at tilføje eller fjerne medlemmer i sikkerhedsgruppen databaseadministratorer.
• Adgang til eller udtræk af følsomme data: Biometriske oplysninger om medarbejdere, kundeoplysninger og oplysninger om transaktioner er eksempler på følsomme virksomhedsoplysninger. Hvis en bruger forsøger at udtrække sådanne oplysninger fra databasen, er det et sikkerhedsbrud.

Slutpunkter

Slutpunkter som bærbare og stationære computere genererer en enorm mængde sikkerhedshændelser hver dag. Nogle af de almindelige sikkerhedshændelser, som du skal overvåge fra slutpunkter, er:

• Mislykkede loginforsøg: Hvis en bruger logger ind på sin enhed efter gentagne mislykkede forsøg, er det en sikkerhedshændelse. Hvis en sådan hændelse efterfølges af, at brugeren forsøger at eskalere sine privilegier, er det et sikkerhedsbrud.
• Uautoriserede softwareinstallationer: Download og installation af uautoriseret software på en enhed er en sikkerhedshændelse. Hvis et sådant program skader andre programmers funktion og får enheden til at fungere dårligt, kaldes det et sikkerhedsbrud.

Sikkerhedsbrud

Et sikkerhedsbrud er en sikkerhedshændelse, der beskadiger netværksressourcer eller data som en del af et angreb eller en sikkerhedstrussel. Et brud forårsager ikke altid direkte skade, men det sætter stadig virksomhedens sikkerhed på spil. For eksempel er det et sikkerhedsbrud, hvis en bruger klikker på et link i en spammail. Dette brud forårsager ikke direkte nogen skade, men det kan installere malware, der forårsager et ransomwareangreb.

Nogle af de sikkerhedsbrud, som du bør overvåge i dit netværk, er:

• Trafik fra kendte skadelige IP-adresser: Flere IP-adresser er identificeret som skadelige på grund af mistanke om skadelige aktiviteter, der udføres via dem. Oplysningerne om skadelige IP-adresser kaldes trusselsinformation eller et trusselsfeed. For at spore trafik fra skadelige kilder bør du konfigurere din sikkerhedsløsning, f.eks. et SIEM-værktøj, til at sammenholde data mellem disse dynamisk opdaterede trusselsfeeds og dine netværkstrafikoplysninger. Hvis en sådan IP-adresse forsøger at få adgang til netværket, kan din SIEM-løsning detektere forsøget og straks sætte ind med modforanstaltninger.
• Mistænkelige malwareinstallationer på slutpunkter: Millioner af skadelige e-mails med vedhæftede filer, der ser ægte ud, sendes til folk hver dag. Hvis sådan en vedhæftet fil åbnes af en intetanende bruger, kan det føre til, at der installeres malware på enheden. Angriberen kan udtrække følsomme oplysninger, der er gemt på brugerens enhed, via malwaren eller få adgang til virksomhedens netværksressourcer, og begge dele gør det til et sikkerhedsbrud.
• Ukendte loginforsøg: Virksomheder bruger VPN-tjenester til at hjælpe fjernbrugere med at oprette forbindelse til organisationens netværk. Hvis det lykkes en hacker at knække en fjernbrugers legitimationsoplysninger, kan de komme ind på netværket og starte et cyberangreb i fuld skala. Hvis en bruger rapporterer, at deres legitimationsoplysninger er blevet kompromitteret, og at de ikke havde logget ind på netværket for nylig, er det et alvorligt sikkerhedsbrud, der kræver hurtig reaktion fra IT-administratoren.
• Eskalering af rettigheder: Når en angriber har fået adgang til virksomhedens netværk, kan vedkommende kun forårsage begrænset skade ved at udgive sig for at være den hackede bruger. Så hackerens næste skridt er ofte eskalering af rettigheder. Eskalering af rettigheder giver angriberen mulighed for at få mere adgang og dermed bedre kontrol over netværket.
• Uautoriserede ændringer af konfigurationer af kritiske enheder: Et uautoriseret forsøg på at foretage ændringer i kritiske tjenester som firewalls indikerer et muligt angreb på netværket, så det logges som et sikkerhedsbrud.
• Malwareinfektion via flytbare medier: Det kan være skadeligt at tilslutte flytbare medier som USB-drev og harddiske til en arbejdsstation, hvis den eksterne enhed indeholder malware. Hvis et antivirussystem detekterer en ekstern enhed, der indeholder malware, logges et sikkerhedsbrud.
• Datamanipulation i databaser: Hvis data i en virksomheds databaser slettes eller ændres af en uautoriseret bruger, kaldes det et sikkerhedsbrud, og IT-administratoren skal straks gribe ind for at forhindre yderligere skade på virksomhedens netværk.

Organisationer skal være omhyggelige med at overvåge og reagere på cybersikkerhedshændelser for at styrke deres cybersikkerhedsniveau og opbygge deres cyberforsvar mod potentielle trusler. Implementering af en SIEM-løsning (Security Information and Event Management) kan være medvirkende til at detektere, håndtere og afbøde sådanne hændelser og tilbyde en proaktiv tilgang til at beskytte dit netværk.